개인정보위, 개인정보 보호법규 위반 2개 사업자 제재
- "백업 및 신속한 복구 등 안전조치 유무, 정상적인 서비스 제공 여부" 등을 기준으로 과징금 부과 결정

개인정보보호위원회(위원장 고학수, 이하 '개인정보위')는 9월 24일(수) 제21회 전체회의를 열고, 개인정보 보호 법규를 위반한 ㈜테라스타(이전 회사명 '에이쓰리글로벌')에는 과징금 500만 원과 300만 원의 과태료를 부과하고, ㈜아이스트로에 대해서는 480만 원의 과태료를 부과하기로 하였다.

* ㈜테라스타 : 화장품 등 생활필수품을 판매하는 통신판매업자(소기업)
㈜아이스트로 : 제빙기 등의 냉동식품 기기 제조사

각 사업자별 구체적인 위반 내용과 처분 결과는 다음과 같다.

< ㈜테라스타 : 과징금 500만 원, 과태료 300만 원 부과 >

㈜테라스타는 '23. 11. 26.경 해커의 공격으로 운영 중인 쇼핑몰 서버가 랜섬웨어에 감염되었다. 해커는 서버 내 파일을 암호화하고 확장자를 변경해 시스템 운영을 중단시킨 후 랜섬노트(협박 메시지)를 남겼다.

㈜테라스타가 운영 중이던 쇼핑몰은 900여 명의 회원이 가입되어 있었으며, 이들 회원의 성명, 생년월일, 성별, 휴대전화번호 등 개인정보가 랜섬웨어 공격으로 훼손*되었다.

* 훼손 : 조작, 일부 삭제 또는 변경하여 본래 개인정보의 특성, 효용 및 사회적 가치를 손상 또는 침해행위

이후, ㈜테라스타는 웹서버 등 홈페이지를 신규 구축하고, 회원가입을 새로 받아 시스템을 재가동하였다.

개인정보위 조사 결과, ㈜테라스타는 쇼핑몰 운영 서버에 보안 업데이트 서비스가 종료('23.10.10)된 윈도우 운영체제를 사용하고 있었으며, 방화벽이나 백신 프로그램을 설치·운영하지 않았고, 비밀번호·계좌번호 등을 암호화하지 않고 저장한 사실도 확인되었다.

이에 따라, 개인정보위는 안전조치 의무 위반으로 개인정보가 훼손된 ㈜테라스타에 대해 과징금 500만 원과 과태료 300만 원을 부과하기로 의결하였다.

< ㈜아이스트로 : 과태료 480만 원 부과 >

해커는 ㈜아이스트로가 운영 중이던 내부 업무관리시스템에 접근하여 관리자용 계정을 생성하고, '24.6.7.경 업무관리시스템을 운영하던 서버 내 데이터 파일을 암호화한 후 랜섬노트(협박 메시지)를 남겼다.

㈜아이스트로가 운영 중이던 업무관리시스템은 임직원과 거래처 직원 1,991명의 개인정보가 포함되어 있었으나, ㈜아이스트로는 사고 인지 즉시 그룹 백업자료(일일 백업)를 이용해 시스템과 데이터를 복구하고 서비스를 정상화하였다. 개인정보위는 이를 고려하여 과징금을 부과하지 않기로 의결하였다.

다만, 개인정보위는 ㈜아이스트로가 업무관리시스템 서버 내 DB 접속정보를 텍스트 파일에 암호 설정 없이 보관하고 있었고, 임직원 등의 주민등록번호를 처리하면서 취급자의 DB 접속기록을 2년 이상 저장·관리하지 않은 사실을 추가 확인하여 480만 원의 과태료를 부과하기로 의결하였다.

< 이번 조사·처분의 의의 >

㈜테라스타와 ㈜아이스트로 모두 운영 중이던 서버가 랜섬웨어에 감염되어 데이터 파일이 암호화되었으나, ㈜테라스타는 백업정보가 없어 시스템을 재구축하고 회원 개인정보를 새로 수집한 반면, ㈜아이스트로는 백업해 둔 정보로 신속히 복구하여 개인정보 효용에 침해가 발생하지 않은 점 등을 고려해, 전자에게는 과징금을 후자에게는 과태료를 부과한 사례이다.

이번 처분은 개인정보위가 랜섬웨어로 인해 개인정보가 암호화(접근 불가)되어 처리가 불가능한 경우에 대해, 유출 여부가 불분명하다 하더라도, '백업 및 신속한 복구 여부, 정상적인 서비스 제공 여부 및 안전조치 여부 등'을 기준으로 '개인정보 훼손'을 판단하고, 과징금을 부과 처분한다는 입장을 명확히 했다는 점에서 의의가 있다.

※ 보호법 제29조는 유출 외 분실·도난·위조·변조·훼손 등 방지를 위한 안전관리 의무 규정, 제64조의2는 유출 외 분실·도난·위조·변조·훼손 등에도 과징금 부과 가능

특히, 개인정보위는 최근 랜섬웨어 시도가 빈발하고 있는 상황에 대해 모든 개인정보처리자가 경각심을 갖고, 개인정보처리시스템의 서버 운영체제, SW 등에 최신 보안패치를 적용하는 것은 물론, 백신 소프트웨어로 악성코드 검사를 수행하도록 해야 한다고 강조했다. 이와 더불어 개인정보 데이터베이스 등 주요 파일은 주기적으로 별도 백업·보관하는 등 각별한 주의를 당부했다.


* 기타 자세한 내용은 첨부파일을 확인해주시기 바랍니다.

- 담당자 : 조사1과 최우석(02-2100-3113), 정경원(02-2100-3116)

“이 자료는 개인정보보호위원회의 보도자료를 전재하여 제공함을 알려드립니다.”

이전다음기사

다음기사개인정보위, 해외사업자 국내대리인 지정 현황 점검